suite
3. Ne banalisez pas les demandes d'e-mail inhabituelles en les limitant simplement à « quelqu'un qui s'amuse avec un ancien compte sur un site sans importance », même si cela ne semble pas être directement lié à la cryptographie. Vous devez immédiatement être en état d'alerte élevé.
Soyez prudent les amis. Et rappelez-vous de ne pas devenir complaisant ou paresseux, utilisez des portefeuilles matériels pour des fonds plus importants et utilisez des appareils séparés pour votre #crypto à grande échelle. Heureusement, mes portefeuilles matériels ne sont pas compromis, mais cela a quand même fait des dégâts, et est particulièrement douloureux en raison de la façon dont cela pourrait ' J'ai été facilement évité + c'était principalement des écuries.
Assurez-vous de sortir du casino lorsque la dégénérescence s'arrête, mais assurez-vous également de ne pas vous faire voler dans le parking.
LIVEMise à jour sur le vol #hack et leçons opsec supplémentaires apprises :
J'ai maintenant en outre confirmé que le vecteur d'attaque de contournement #2FA était une attaque d'homme au milieu. J'avais reçu un e-mail de la plateforme de recherche d'emploi Indeed m'informant qu'ils avaient reçu une demande de suppression de mon compte dans les 14 jours. J'étais au lit à ce moment-là et je le faisais depuis mon téléphone via l'application mobile Gmail.
Je n'avais pas utilisé Indeed depuis toujours et je m'en fiche, mais j'ai évidemment pensé que c'était inhabituel, car je n'ai pas fait une telle demande. Par mesure de sécurité, je voulais savoir qui avait fait une telle demande et vérifier si Indeed disposait de journaux d'accès, alors je l'ai tapé sur mon téléphone.
Comme je n'ai pas utilisé Indeed depuis toujours, je ne me suis pas souvenu de mon mot de passe, j'ai donc naturellement choisi Se connecter avec Google. Cela m'a amené à Indeed et je n'ai pas trouvé de journal des demandes. Parce que je savais que mes anciennes connexions étaient déjà sur le darkweb, j'ai pensé que quelqu'un devait avoir accédé à mon Indeed, et j'ai donc procédé à l'activation de 2FA.
Honnêtement, je ne m'en souciais pas beaucoup, même s'il était supprimé, et je pensais que c'était juste un petit pirate amateur qui jouait avec une ancienne connexion provenant d'une ancienne fuite de base de données exposée.
Il s'avère que l'e-mail Indeed était une attaque de phishing #spoofed . Le lien Indeed que j'ai exploité dans l'application Gmail était un lien Web sud-coréen scripté, qui à son tour m'a redirigé vers un faux site Indeed, qui a capturé ma connexion avec Google, puis m'a redirigé vers le vrai site Indeed. Ils ont détourné le cookie de session leur permettant de contourner 2FA, puis ont accédé à mon compte Google et abusé de la synchronisation du navigateur.
Autres leçons générales d’opérationsec apprises :
1. L'application mobile Gmail n'affichera pas par défaut les véritables URL de courrier électronique ou de lien de l'expéditeur, ce qui constitue un gros défaut opsec. Évitez d'appuyer sur les liens mobiles dans votre client de messagerie mobile.
2. Évitez d'utiliser la connexion avec Google ou d'autres fonctionnalités #oAuth . La commodité n’en vaut pas la peine en raison de la facilité des attaques de phishing pour contourner 2FA. Même si cela n’est pas dû au fait d’avoir cliqué sur un lien de phishing, un site Web classique pourrait être compromis sans que vous en soyez responsable. Les attentes en matière de sécurité 2FA ont baissé ma garde.